Meldplicht Datalekken

Meldplicht Datalekken en de AVG

Digitalisering van de zorg, dataopslag in de cloud, uitwisseling van zorggegevens met steeds meer ketenpartners, gegevensuitwisseling middels mobile devices of het koppelen en analyseren van data; het is een grote uitdaging om als zorgaanbieder goede privacybescherming te bieden.

Het inrichten van de juiste procedures en het melden van datalekken valt onder een van de voornaamste verplichtingen van de AVG.  Als verantwoordelijke voor het verwerken van persoonsgegevens dient u passende technische en organisatorische maatregelen te nemen om te garanderen dat persoonsgegevens voldoende zijn beschermd. Het is daarbij zaak dat u niet alleen de juiste procedures en beveiligingsmaatregelen heeft omschreven, maar ook dat u kunt aantonen dat u de maatregelen uitvoert.

Lees meer over datalekken onder de AVG

Wees goed voorbereid op een datalek

De AVG verlangt van u dat u te allen tijde moet kunnen aantonen dat u aan privacyregelgeving voldoet.

U moet dus zorgen voor een privacybeleid dat goed geborgd is in uw organisatie. Het is van uiterste belang dat u uw protocol rondom datalekken zodanig inricht dat u precies kunt aangeven:

  • wat de oorzaak is van het datalek,
  • wat er is gebeurd,
  • welke categorieën persoonsgegevens door het datalek zijn geraakt,
  • welke (categorieën van) personen hierbij betrokken zijn, wat de effecten zijn van het datalek
  • en welke acties u heeft genomen.

Alleen dan kunt u aantonen dat u aan de privacyregelgeving en de verantwoordingsplicht voldoet, die u met de inwerkingtreding van de AVG per 25 mei heeft.

Raadpleeg onze factsheet Eerste Hulp bij Datalekken

Focus op bescherming

Het opstellen van een datalekken plan moet u niet zien als een doel op zich.

De focus moet gericht zijn op de bescherming van de rechten en vrijheden van betrokkenen en niet om boetes te voorkomen. Gaat u zelf aan de slag met een datalekken plan? Vraagt u zichzelf dan het volgende af;

  • In hoeverre is de awareness over privacy binnen de organisatie aanwezig?
  • Weten betrokkenen welke zeggenschap ze hebben over wat er met hun gegevens gebeurt?
  • Is de zorgorganisatie goed ingericht op bescherming van persoonsgegevens?
  • En is de organisatie voldoende voorbereid op een datalek?

Wilt u meer deskundige ondersteuning bij het maken van uw plan?

Lees meer over hoe onze Privacy Officers u verder kunnen helpen

Consequenties

Het verzuimen van de meldplicht kan ernstige reputatieschade veroorzaken en grote financiële gevolgen hebben voor uw zorgorganisatie.

Onder de Wbp kan de Autoriteit Persoonsgegevens boetes tot en met € 820.000,- opleggen. Dit bedrag wordt straks onder de AVG een stuk hoger. Boetes kunnen dan namelijk oplopen tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet per overtreding. Door het nemen van de juiste maatregelen kunt u voorkomen dat u wordt overvallen door een datalek en dat u het risico loopt om een aanwijzing of boete opgelegd te krijgen

Een van die maatregelen is het (verplicht!) aanstellen van een Functionaris Gegevensbescherming. De FG moet toezien op het privacybeleid binnen de zorginstelling en is de eerste aanspreekpunt voor de Autoriteit Persoonsgegevens. Het is cruciaal dat de FG nauw betrokken wordt bij de afhandeling van een beveiligingsincident of een mogelijke datalek.

Raadpleeg onze F.A.Q. voor meer informatie

Hoe ga je om met het verzamelen en delen van persoonsgegevens in de zorg?

Lees onze tips en aandachtspunten

Eerste Hulp Bij Datalekken

Voorkom dat u wordt overvallen door een datalek en daarmee het risico op een aanwijzing of een boete. Met een goede voorbereiding beveiligt u de gegevens van uw patiënten en cliënten én die van uw eigen organisatie.

Voor tips en aandachtspunten kunt u onze factsheet raadplegen.

Download factsheet Eerste Hulp Bij Datalekken

F.A.Q.

Wat betekent de meldplicht datalekken voor mij als organisatie?

Treedt er bij uw organisatie een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens? Dan kunt u verplicht zijn een melding te doen bij de Autoriteit Persoonsgegevens. Of u een datalek wel of niet moet melden, hangt af van de ernst van het datalek.

In bepaalde gevallen moet u ook de betrokkenen informeren over het datalek. Dat zijn de personen van wie u gegevens verwerkt. Ook hierbij hangt het van de ernst van het datalek af of u dit wel of niet moet doen.

Overtreding meldplicht datalekken
Is de meldplicht datalekken ingegaan en meldt u een datalek ten onrechte niet bij de Autoriteit Persoonsgegevens? Dan kan de Autoriteit Persoonsgegevens u een boete geven.

Meldplicht datalekken Telecommunicatiewet
Biedt u openbare elektronische communicatiediensten aan? Dan was u ook voor 1 januari 2016 al verplicht om datalekken te melden op grond van de Telecommunicatiewet. Dit deed u bij de Autoriteit Consument en Markt (ACM).

Deze meldplicht blijft bestaan. Per 1 januari 2016 doet u deze meldingen niet meer bij ACM, maar bij de Autoriteit Persoonsgegevens. U gebruikt hiervoor hetzelfde meldformulier van het meldloket datalekken waarmee u ook de overige datalekken meldt.

bron: Autoriteit Persoonsgegevens

Wanneer legt de Autoriteit Persoonsgegevens een boete op als een datalek niet is gemeld?

De Autoriteit Persoonsgegevens kan bij overtreding van de meldplicht datalekken uit de Wet bescherming persoonsgegevens een boete opleggen van maximaal 820.000 euro. Voor overtreding van de meldplicht datalekken uit de Telecommunicatiewet kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 900.000 euro.

In de Boetebeleidsregels Autoriteit Persoonsgegevens 2016 staat hoe de Autoriteit Persoonsgegevens de hoogte van boetes bepaalt.

Bindende aanwijzing
Is de overtreding niet opzettelijk gepleegd? En is er geen sprake van ernstig verwijtbare nalatigheid? Dan legt de Autoriteit Persoonsgegevens eerst een bindende aanwijzing op. Daarna legt de Autoriteit Persoonsgegevens eventueel een boete op.

Overwegingen boete datalek
Bij het opleggen van een boete houdt de Autoriteit Persoonsgegevens rekening met alle omstandigheden van het geval. Een omstandigheid van het geval is bijvoorbeeld dat de gelekte gegevens niet door derden zijn ingezien.

Boetebevoegdheid Autoriteit Persoonsgegevens
Sinds 1 januari 2016 heeft de Autoriteit Persoonsgegevens een boetebevoegdheid.

bron: Autoriteit Persoonsgegevens

Is de organisatie verantwoordelijk voor wat de klant/patiënt doet met zijn gegevens?

Nee. Heeft u op verzoek van uw klant zijn persoonsgegevens verstrekt, dan bent u niet verantwoordelijk voor wat hij daarmee doet. Ook niet voor de verwerking van deze gegevens door een andere organisatie.

Let op: u bent er wel verantwoordelijk voor dat het recht op dataportabiliteit niet leidt tot datalekken. U moet een goed authenticatiemechanisme aanbieden, zodat u zeker bent van de identiteit van uw klanten/patiënten.

bron: Autoriteit Persoonsgegevens

Moet ik mijn gegevensverwerkingen straks nog melden bij de AP?

Nee. Zodra de algemene verordening gegevensbescherming (AVG) van toepassing is (25 mei 2018), hoeft u uw gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP).

U heeft vanaf deze datum wél een documentatieplicht. Dit houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen (accountability).

Let op: uw gegevensverwerkingen melden bij de AP is iets anders dan de meldplicht datalekken. Deze meldplicht vervalt niet. Als de AVG van toepassing is, moet u dus nog steeds datalekken melden bij de AP.

bron: Autoriteit Persoonsgegevens

Wat is een datalek precies?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Voorbeelden datalekken
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

bron: Autoriteit Persoonsgegevens

Handleiding voor verwerkers van persoonsgegevens

Download de handleiding voor verwerkers van persoonsgegevens voor professionals.

Download handleiding
Kan een concern met verschillende onderdelen één FG aanstellen?

Ja, meerdere bedrijfsonderdelen kunnen samen één FG aanstellen. Ook een groep organisaties kan een gezamenlijke FG benoemen. De voorwaarde voor een gezamenlijke FG is dat deze persoon goed bereikbaar is vanuit elke afdeling en vestiging.

Goede bereikbaarheid
Een goede bereikbaarheid van de gezamenlijke FG betekent dat de contactgegevens van de FG breed beschikbaar zijn. Betrokkenen en toezichthouders moeten eenvoudig met de FG kunnen communiceren.

De mogelijkheid om direct contact op te nemen met de FG (via een persoonlijke afspraak of een ander veilig communicatiekanaal) is daarbij essentieel.

bron: Autoriteit Persoonsgegevens

Wie is de verantwoordelijke en wie de betrokkene bij het verwerken van persoonsgegevens?

De verantwoordelijke is een persoon of een organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. De verantwoordelijke kan dit alleen doen of samen met anderen. Het houdt in dat de verantwoordelijke uiteindelijk beslist of een organisatie persoonsgegevens verwerkt, en zo ja:

  • om welke verwerking het gaat;
  • welke persoonsgegevens de organisatie hierbij verwerkt;voor welk doel de organisatie dit doet;
  • op welke manier de organisatie dit doet.

De betrokkene is degene van wie een organisatie persoonsgegevens verwerkt. Dit is dus degene op wie de persoonsgegevens betrekking hebben.

bron: Autoriteit Persoonsgegevens

Moet ik alle datalekken melden aan betrokkenen?

Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.

Melden datalek niet nodig
U mag de melding aan de betrokkenen eventueel achterwege laten als u passende technische beschermingsmaatregelen heeft getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Bijvoorbeeld goede encryptie.

Beleidsregels meldplicht datalekken
De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens kunnen u helpen om te bepalen of sprake is van waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkenen.

Ook helpen deze beleidsregels u met de vraag of de door u getroffen technische beschermingsmaatregelen de gegevens onbegrijpelijk of ontoegankelijk hebben gemaakt voor onbevoegden.

bron: Autoriteit Persoonsgegevens

Hoe hoog zijn de boetes onder de AVG?

Overtreedt een organisatie straks de Algemene verordening gegevensbescherming (AVG)? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.

Boete van maximaal 10 miljoen euro
Verantwoordelijken (organisaties die persoonsgegevens verwerken) hebben onder de AVG bepaalde verplichtingen, zoals een documentatieplicht. Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Boete van maximaal 20 miljoen euro
Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)? Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

bron: Autoriteit Persoonsgegevens

Kan ik als organisatie ook een FG aanstellen als dit niet verplicht is?

Ja, dat kan. Het kan zelfs heel nuttig zijn om iemand aan te nemen of in te huren die gespecialiseerd is in de bescherming van persoonsgegevens.

Regels FG
Voor een FG die u aanstelt zonder dat u daartoe verplicht bent, gelden dezelfde regels als voor de verplichte FG. Bijvoorbeeld als het gaat om de professionaliteit en het takenpakket van de FG (zie hiervoor artikelen 37, 38 en 39 van de AVG).

Alternatief voor FG
U kunt in plaats van een FG ook een werknemer in dienst nemen of een adviseur inhuren die zich met de bescherming van persoonsgegevens bezighoudt. Heeft deze persoon een andere functienaam, positie en takenpakket dan een FG? Dan gelden de wettelijke regels voor de FG niet. Het is dan wel belangrijk om duidelijk te maken – zowel binnen als buiten uw organisatie – dat deze persoon geen FG in de zin van de wet is.

bron: Autoriteit Persoonsgegevens

Wie is de bewerker bij het verwerken van persoonsgegevens?

Een bewerker is een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed. Bijvoorbeeld een administratiekantoor.

Een bewerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. Maar de bewerker heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens.

bron: Autoriteit Persoonsgegevens

Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens?

Nee. U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.

Beleidsregels meldplicht datalekken
De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens kunnen u helpen om te bepalen of sprake is van ernstige nadelige gevolgen.

Hoe kan een FG intern toezicht houden op het naleven van de privacywet?

Een belangrijke taak van de FG is intern toezicht houden op het naleven van de privacywet. Om dit te kunnen doen, kan de FG:

  • informatie verzamelen over gegevensverwerkingen binnen de organisatie;
  • deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen;
  • informatie, adviezen en aanbevelingen geven aan de organisatie.

Aansprakelijkheid
De FG is niet persoonlijk aansprakelijk als er binnen zijn organisatie een overtreding van de privacywet is.

De naleving van de privacywet is een verantwoordelijkheid van de verantwoordelijke of de bewerker. In de AVG heet dit de verwerker.

bron: Autoriteit Persoonsgegevens

Moet de FG bijhouden welke gegevens mijn organisatie verwerkt?

U bent er als organisatie verantwoordelijk voor om overzicht te houden van de gegevensverwerkingen binnen uw organisatie. De FG heeft deze verantwoordelijkheid niet.

Maar in de praktijk houden FG’s al vaak een lijst bij van de gegevensverwerkingen. Vooral bij risicovolle verwerkingen. Hoewel deze taak niet tot de wettelijke taken van de FG behoort, kunt u ervoor kiezen deze taak bij de FG onder te brengen.

bron: Autoriteit Persoonsgegevens

Welke rol speelt de FG bij privacy impact assessments (PIA’s)?

Niet de FG, maar de organisatie heeft de taak om een privacy impact assessment (PIA) uit te voeren als dat noodzakelijk is. De organisatie is verplicht om de FG hierbij om advies te vragen.

Advies FG
Het is aan te raden om de FG advies te vragen over:

  • de afweging om wel of niet een PIA uit te voeren;
  • de onderzoeksmethode die geschikt is voor de PIA;
  • de vraag of de organisatie de PIA zelf uitvoert of hiervoor een gespecialiseerd bureau inschakelt;
  • de waarborgen die nodig zijn om de risico’s voor betrokkenen te beperken;
  • de vraag of de uitkomsten van de PIA in overeenstemming zijn met de wet.

De organisatie moet in het rapport over de PIA opnemen wat het advies van de FG is en wat daarmee is gedaan.

bron: Autoriteit Persoonsgegevens

Maak van uw privacybeleid onze zorg!

De combinatie van juridische expertise en zorgkennis maakt ons de meest ideale juridische partners het zorgdomein! Wij helpen graag uw organisatie verder.

Contact

Publicaties Meldplicht Datalekken

Tips Privacy | Wat u echt móet weten van de AVG

30 August 2017

De Algemene Verordening Gegevensbescherming (AVG) treedt al op 25 mei 2018 in werking. Maar nog stee…

Blog Privacy | Gemeenten zo lek als een mandje?

03 April 2017

Wees zorgvuldig met uitwisseling van patiëntgegevens. Aangezien gemeenten nu ook verantwoordelijk z…

Blog Privacy | De zorg in top 3 met meeste datalekken 2016

03 April 2017

Volgens de Autoriteit Persoonsgegevens blijkt dat 5.000 meldingen van een datalek maar liefst 1.000 …

©2018 Cure4 |

Werken bij Cure4 | Disclaimer | Privacy Statement | Over Cure4 | Aanmelden Nieuwsbrief
Contact